È illecita la pubblicazione su internet da parte di un consiglio dell’ordine degli avvocati delle liste delle udienze penali contenente i dati degli imputati.
Volume consigliato: Formulario commentato della privacy
Indice
1. I fatti
Un reclamante lamentava al Garante per la protezione dei dati personali che un Consiglio dell’Ordine degli avvocati aveva pubblicato sul proprio sito web istituzionale i c.d “statini” di rinvio delle udienze penali presso il locale tribunale, all’interno dei quali erano indicati i nominativi del reclamante e della moglie (oltre a quelli di altri soggetti imputati nei procedimenti penali cui si riferivano le udienze indicate nei suddetti statini). Inoltre, aggiungeva il reclamante, che a seguito di una ricerca circa i due suddetti nominativi sul motore di ricerca google era possibile rinvenire e scaricare i suddetti statini nonché acquisire informazioni in ordine alle udienze dei loro procedimenti penali: detti statini non risultavano in alcun modo anonimizzati.
In secondo luogo, il reclamante sosteneva di aver informato il Consiglio dell’Ordine circa i fatti di cui sopra e che quest’ultimo gli aveva comunicato di aver rimosso il documento in questione dal proprio sito web, ma che tuttavia era possibile comunque rinvenire detto documento dal motore di ricerca di google e che comunque vi erano altri documenti di tal genere sulla rete.
Infine, il reclamante lamentava di subire un danno concreto ai propri diritti a causa della diffusione dei propri dati giudiziari, in quanto non aveva potuto prendere in locazione un immobile su Roma in quanto l’agenzia immobiliare gli aveva riferito che il proprietario si era rifiutato di locare l’immobile a dei pregiudicati ed inoltre in quanto stava pensando di dare le dimissioni al lavoro a causa del peggioramento della propria reputazione sul web.
In considerazione del reclamo presentato, il Garante inviava una richiesta di chiarimenti al Consiglio dell’Ordine chiedendo, alla luce del principio di minimizzazione dei dati personali e in generale dei principi di trattamento dei dati giudiziari, quali fossero le finalità e le modalità del trattamento dati in questione, il contenuto degli statini e se gli stessi fossero stati anonimizzati nonché le misure tecniche-organizzative che il Consiglio aveva adottato per garantire il rispetto dei principi in materia di trattamento dei dati personali del reclamante e della moglie.
Inoltre, il Garante inviava la segnalazione del reclamante anche al Consiglio Superiore della Magistratura, al Ministero della Giustizia e al Tribunale cui si riferivano gli statini in questione.
Il Tribunale rispondeva alla comunicazione del Garante, affermando che si era trattato di un mero errore da parte del soggetto che si era occupato della pubblicazione degli statini sul sito web del Tribunale e che tale evento aveva offerto l’occasione per richiamare l’attenzione di tutti coloro che lavorano all’interno del Tribunale al puntuale rispetto della normativa in materia di privacy.
L’ordine degli avvocati rispondeva alla richiesta del Garante, rappresentando che, a causa dell’emergenza sanitaria si erano limitati gli accessi ai plessi giudiziari da parte dell’avvocatura e pertanto d’intesa con il Tribunale avevano deciso di pubblicare gli statini d’udienza nei siti web per consentire agli avvocati di poter aggiornare le proprie agende professionali leggendo le informazioni dal sito web. In secondo luogo, il Consiglio dell’Ordine riteneva che la condotta non costituisse alcuna violazione, in quanto le udienze sono trattate in forma pubblica e pertanto la pubblicazione dei relativi statini sul portale web del Tribunale e dell’Ordine non poteva ritenersi erronea (anche perché detti documenti da sempre sono affissi nelle porte delle aule di udienza o nelle bacheche affisse nei corridoi dei tribunali).
Preso atto delle osservazioni difensive del Tribunale e del Consiglio dell’Ordine, il Garante riteneva di dover dare avvio al procedimento sanzionatorio nei confronti dell’Ordine in quanto riteneva che la diffusione dei dati del reclamante e della moglie fosse avvenuta in assenza di un presupposto che la legittimasse, in quanto non vi era alcuna disposizione di legge o di regolamento che autorizzasse il trattamento di dati giudiziari.
Infine, il Garante dava atto che nelle more del procedimento il reclamante aveva inviato un’altra segnalazione circa un nuovo statino di udienza (relativo alle udienze del 11.07.2022), contenente i nominativi del reclamante, che era stato pubblicato sul sito web istituzionale del Consiglio dell’Ordine.
Potrebbero interessarti:
2. Consiglio dell’ordine pubblica lista udienze con dati degli imputati: la valutazione del Garante
Preliminarmente, il Garante ha ricordato che i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (in base ai principi di liceità, correttezza e trasparenza), devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (in base al principio di minimizzazione dei dati) ed inoltre devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (in base ai principi di integrità e riservatezza).
Per quanto riguarda la categoria dei dati relativi a condanne penali e reati, il Regolamento europeo per la protezione dei dati personali (GPDR) sancisce che il loro trattamento deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Nel caso di specie, invece è stato accertato che il trattamento dei dati personali di natura giudiziaria del reclamante e della moglie è stato effettuato dal consiglio dell’Ordine (mediante pubblicazione sul proprio sito web dei loro nominativi associati ad un numero di procedimento penale contenuto in una lista di udienze di vari procedimenti), in assenza di un presupposto giuridico che potesse legittimare detta diffusione.
Inoltre, il trattamento è avvenuto in maniera non conforme ai principi di cui sopra stabiliti dalla normativa in materia di protezione dei dati personali.
Pertanto, la divulgazione di detti dati senza un presupposto di liceità e in violazione dei richiamati principi integra una violazione della normativa privacy da parte del Consiglio dell’Ordine.
3. La decisione del Garante
In considerazione delle valutazioni di cui sopra, il Garante ha ritenuto che le argomentazioni difensive del Consiglio dell’Ordine non potessero superare i rilievi sollevati dal Garante e quindi ha statuito che la pubblicazione dei dai giudiziari del reclamante e dalla moglie sul sito web istituzionale del Consiglio dell’Ordine costituisce un illecito trattamento dati.
In considerazione del fatto che la condotta aveva già esaurito i propri effetti, il Garante ha ritenuto di non adottare alcuna misura correttiva nei confronti dell’Ordine, ma ha applicato una sanzione amministrativa pecuniaria.
Per quanto riguarda la quantificazione della predetta sanzione, il Garante, da un lato, ha valutato che la condotta illecita del Consiglio dell’ordine è stata perdurante nel tempo, nonostante l’interessato abbia avanzato diverse richieste di rimozione dei propri dati, e che l’Autorità ha preso conoscenza dei fatti solo a seguito di reclamo da parte dell’interessato, nonché che il trattamento ha riguardato la diffusione sul web di dati giudiziari. Dall’altro lato, il Garante ha valutato come non dolosa la condotta del Consiglio dell’Ordine e che quest’ultimo ha tenuto un comportamento collaborativo durante il procedimento sanzionatorio, nonché che non vi erano precedenti a carico del Consiglio e che il fatto si è verificato durante il periodo emergenziale dovuta alla pandemia da Covid-19.
Sulla base di tali presupposti, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 20.000 (ventimila).
Volume consigliato
L’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento